淺談實現(xiàn)教育信息網絡安全的對策(2)
時間:
張彭 李若思 王蓓1由 分享
二、實現(xiàn)教育信息網絡安全的對策
網絡安全是指為了保護網絡不受來自網絡內外的各種危害而采取的防范措施的總和。不同屬性的網絡具有不同的安全需求。對于教育信息網絡,受投資規(guī)模等方面的限制,不可能全部最高強度的實施,但是正確的做法是分析網絡中最為脆弱的部分而著重解決,將有限的資金用在最為關鍵的地方。實現(xiàn)整體網絡安全需要依靠完備適當?shù)木W絡安全策略和嚴格的管理來落實。
網絡的安全策略就是針對網絡的實際情況(被保護信息價值、被攻擊危險性、可投入的資金),在網絡管理的整個過程,具體對各種網絡安全措施進行取舍。網絡的安全策略可以說是在一定條件下的成本和效率的平衡。
教育信息網絡包括各級教育數(shù)據中心和信息系統(tǒng)運行的局域網,連接各級教育內部局域網的廣域網,提供信息發(fā)布和社會化服務的國際互聯(lián)網。它具有訪問方式多樣,用戶群龐大,網絡行為突發(fā)性較高等特點。網絡的安全問題需要從網絡規(guī)劃設計階段就仔細考慮,并在實際運行中嚴格管理。為保證網絡的安全性,一般采用以下一些策略:
1、安全技術策略。目前,網絡安全的技術主要包括殺毒軟件、防火墻技術、加密技術、身份驗證、存取控制、數(shù)據的完整性控制和安全協(xié)議等內容。對教育信息網絡來說,主要應該采取以下一些技術措施:(1)防火墻。網絡防火墻技術,作為內部網絡與外部網絡之間的第一道安全屏障,包含動態(tài)的封包過濾、應用代理服務、用戶認證、網絡地址轉接、IP防假冒、預警模聲、日志及計費分析等功能,可以有效地將內部網與外部網隔離開來,能夠控制網絡上往來的信息,而且僅僅容許合法用戶進出局域網。根據防火墻的位置,可以分為外部防火墻和內部防火墻。外部防火墻將局域網與外部廣域網隔離開來,而內部防火墻的任務經常是在各個部門子網之間進行通信檢查控制。網絡安全體系不應該提供外部系統(tǒng)跨越安全系統(tǒng)直接到達受保護的內部網絡系統(tǒng)的途徑。(2)加密機。加密機可以對廣域網上傳輸?shù)臄?shù)據和信息進行加解密,保護網內的數(shù)據、文件、口令和控制信息,保護網絡會話的完整性,并可防止非授權用戶的搭線竊聽和入網。(3)網絡隔離VLAN技術應用。采用交換式局域網技術的網絡,可以用VLAN技術來加強內部網絡管理。VLAN技術的核心是網絡分段,根據功能、保密水平、安全水平等要求的差異將網絡進行分段隔離,實現(xiàn)相互間的訪問控制,可以達到限制用戶非法訪問的目的。網絡分段可以分為物理分段和邏輯分段兩種方式。(4)殺毒軟件。選擇合適的網絡殺毒軟件可以有效地防止病毒在網絡上傳播。(5)訪問控制。這是網絡安全防范和保護的最主要措施之一,其主要任務是保證網絡資源不被非法使用和非法訪問。用戶的入網訪問控制通常有用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬戶的缺省限制檢查等。當用戶進入網絡后,網絡系統(tǒng)就賦予這一用戶一定的訪問權限,用戶只能在其權限內進行操作。這樣,就保證網絡資源不被非法訪問和非法使用。(6)入侵檢測。入侵檢測是對入侵行為的發(fā)覺,通過對網絡或計算機系統(tǒng)中的若干關鍵點收集并進行分析從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。(7)網絡安全漏洞掃描。安全掃描是網絡安全防御中的一項重要技術,其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務器、交換機、數(shù)據庫應用等各種對象。然后根據掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告,為提高網絡安全整體水平產生重要依據。(8)“最小授權”原則。從網絡安全的角度考慮問題,打開的服務越多,可能出現(xiàn)的安全漏洞就會越多。“最小授權”原則指的是網絡中賬號設置、服務配置、主機間信任關系配置等應該為網絡正常運行所需的最小限度。關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小 限度、及時刪除不必要的賬號等措施可以將系統(tǒng)的危險性大大降低。
2、物理安全及其保障。物理安全的目的是保護路由器、交換機、工作站、各種網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。網絡規(guī)劃設計階段就應該充分考慮到設備的安全問題。將一些重要的設備建立完備的機房安全管理制度,妥善保管備份磁帶和文檔資料;防止非法人員進入機房進行偷竊和破壞活動。抑制和防止電磁泄漏是物理安全的一個主要問題。目前主要防護措施有兩類:一類是對傳導發(fā)射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是采用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統(tǒng)工作的同時,利用干擾裝置產生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。
3、網絡安全管理。即使是一個完美的安全策略,如果得不到很好的實施,也是空紙一張。網絡安全管理除了建立起一套嚴格的安全管理制度外,還必須培養(yǎng)一支具有安全管理意識的網絡隊伍。
網絡管理人員通過對所有用戶設置資源使用權限和口令,對用戶名和口令進行加密、存儲、傳輸、提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。
網管人員還需要建立與維護完整的網絡用戶數(shù)據庫,嚴格對系統(tǒng)日志進行管理。定時對網絡系統(tǒng)的安全狀況做出評估和審核,關注網絡安全動態(tài),調整相關安全設置,進行入侵防范,發(fā)出安全公告,緊急修復系統(tǒng)。同時需要責任明確化、具體化,將網絡的安全維護、系統(tǒng)和數(shù)據備份、軟件配置和升級等責任具體到網管人員,實行包機制度和機歷本制度等,保證責任人之間的備份和替換關系。
4、網絡安全的培訓教育。除了對用戶進行有關網絡安全的法律和規(guī)章制度進行宣傳教育外,還必須讓網絡用戶知道和了解一些安全策略:包括口令的選取、保存、更改周期、定期檢查、保密。盡量不要在本地硬盤上共享文件,因為這樣做將影響自己的機器安全。最好將共享文件存放在服務器上,既安全又方便了他人隨時使用文件。設置有顯示的屏幕保護,并且加上口令保護。定期參加網絡知識和網絡安全的培訓,了解網絡安全知識,養(yǎng)成注意安全的工作習慣等等。
5、應急處理和災難恢復。為保證網絡系統(tǒng)發(fā)生災難后做到有的放矢,必須制定一套完整可行的事件救援,災難恢復計劃及方案。備份磁帶是在網絡系統(tǒng)由于各種原因出現(xiàn)災難事件時最為重要的恢復和分析的手段和依據。網絡運行部門應該制定完整的系統(tǒng)備份計劃,并嚴格實施。備份計劃中應包括網絡系統(tǒng)和用戶數(shù)據備份、完全和增量備份的頻度和責任人。
備份數(shù)據磁帶的物理安全是整個網絡安全體系中最重要的環(huán)節(jié)之一。通過備份磁帶,一方面可以恢復被破壞的系統(tǒng)和數(shù)據;另一方面需要定期地檢驗備份磁帶的有效性??梢酝ㄟ^定期的恢復演習對備份數(shù)據有效性進行鑒定,同時對網管人員數(shù)據恢復技術操作的演練做到遇問題不慌,從容應付,保障網絡服務的提供。
教育信息網絡的安全問題是一個較為復雜的系統(tǒng)工程。從嚴格的意義上來講,沒有絕對安全的網絡系統(tǒng)。提高網絡的安全系數(shù)是要以降低網絡效率和增加投入為代價的。隨著計算機技術的飛速發(fā)展,網絡的安全有待于在實踐中進一步研究和探索。在目前的情況下,我們應當全面考慮綜合運用防火墻、加密技術、防毒軟件等多項措施,互相配合,加強管理,從中尋找到確保網絡安全與網絡效率的平衡點,綜合提高網絡的安全性,從而建立起一套真正適合教育信息網絡的安全體系。
參考文獻
[1]Jay Ramachandran(美).《設計安全的體系結構》[M].機械工業(yè)出版社,2003年.
[2]Stallingsw,(美),《信息與網絡安全叢書:網絡安全要素——應用與標準》[M],人民郵電出版社,2000年.
[3]網絡安全策略的探討http://www.happycampus.cn/pages/2003/05/30/D112865.html.